Parmi les obligations incombant au responsable du traitement, figure en premier lieu l’établissement d’un registre des activités de traitement.
La première étape consiste donc à inventorier et à recenser de façon précise vos différents traitements de données personnelles. L’élaboration d’un registre des traitements vous permet ainsi de faire le point. Toutes les associations devront en principe établir un tel registre pour les traitements de données qui ont un caractère répétitif (tel que par exemple : la mise à jour de la liste des membres, la gestion des cotisations, l’actualisation du site internet, si applicable l’enregistrement à des compétitions, etc.). Il n’est pas obligatoire de préciser les traitements de données occasionnels dans le registre.
Identifiez donc vos activités qui nécessitent la collecte et le traitement de données personnelles et créez pour chaque activité recensée une fiche spécifique en fonction de la finalité poursuivie. Les données sont généralement collectées par des associations pour les finalités suivantes : gestion administrative des membres, gestion du site internet, envoi de newsletters, gestion des fournisseurs, gestion des cotisations, gestion de la comptabilité et la gestion des listes de contact (« VIP ») autres que les membres pour l’envoi d’invitations à des événements. En fonction d’autres activités spécifiques supplémentaires d’une association, des données peuvent être collectées pour d’autres finalités comme par exemple la gestion des salariés, la lutte contre le dopage ou encore la gestion du contrôle médico-sportif.
Chaque fiche doit préciser principalement (c’est-à-dire une fiche par traitement de données et par finalité):
- l’objectif poursuivi (la finalité – voir les exemples ci-dessus) ;
- les catégories de personnes concernées (exemple : tous les licenciés) ;
- les catégories de données utilisées (exemple pour les licenciés : nom, prénom, adresse postale, adresse mail et date de naissance ; attention : le registre doit contenir uniquement les catégories de données et en aucun lieu les données personnelles en elles-mêmes) ;
- les destinataires des données (une fiduciaire, un ministère, l’organisateur d’un tournoi, etc.) ;
- la durée de conservation de ces données (ne doit pas être plus longue que nécessaire pour atteindre les finalités prévues, à analyser au cas par cas) ;
- le cas échéant, les transferts de données vers un pays tiers ou à une organisation internationale.
Un modèle d’un registre avec des exemples concrets peut être téléchargé ci-dessous. Celui-ci doit être adapté au cas par cas en fonction de l’activité et des finalités des traitements de données de l’association.